Laut Imperva würden sich immerhin 0,9 Prozent der Passwörter bereits im ersten Anlauf mithilfe einer Brute-Force-Attacke knacken lassen. Mit nur 5000 Versuchen könnte ein Hacker bereits 20 Prozent aller Begriffe ermitteln.

Die Firma empfiehlt daher Nutzern von Online-Diensten Folgendes:

1. Starke Passwörter: Für Services, auf denen der User sensible Daten platziert, sollte er ein starkes Passwort wählen. Der Verschlüsselungsfachmann Bruce Schneider empfiehlt, einen Satz, den man sich leicht merken kann, in ein Passwort umzufunktionieren.

Ein Beispiel: Aus »Das kleine Schweinchen ging zum Markt« wird »DkSCHWg2ma«. Dieser Begriff dürfte in keinem Wörterbuch (Dictionary) zu finden sein, das Hacker für entsprechende Attacken verwenden.

2. Unterschiedliche Passwörter für unterschiedliche Dienste: Wer nur einen Begriff für mehrere oder gar alle Services oder Rechner verwendet, handelt fahrlässig. Für jeden Account sollte ein anderes Passwort zum Zuge kommen. Wer sich diese nicht merken kann, sollte sie aufschreiben, allerdings nicht im Klartext. Bruce Schneier empfiehlt, sich statt des echten Passworts den oben genannten Merksatz zu notieren, also »Das kleine Schweinchen …«.

3. Keinem Dritten wichtige Passwörter mitteilen: Hier besonders auf Phishing-E-Mails achten, in denen beispielsweise die eigene Bank (in Wirklichkeit der Hacker) zum »Verifizieren« der Account-Daten des Empfängers aufruft.

… und für Administratoren

Auch für Administratoren hat Imperva Ratschläge parat:

1. Die Vergabe starker Passwörter durch den Nutzer erzwingen: Das heißt, dem Nutzer vorschreiben, dass er einen Begriff von bestimmter Länge (mindestens 8 Zeichen) und mit Ziffern, Groß-/Kleinschreibung und Sonderzeichen wählen muss – auch auf die Gefahr hin, dass sich Anfragen wegen vergessener Passwörter häufen.

2. Keine Übermittlung von Passwörtern über ungesicherte Verbindungen ermöglichen: Die Begriffe dürfen nur über https-Verbindungen übertragen werden.

3. Passwörter in verschlüsselter Form in der Datenbank ablegen: Dies erschwert es Hackern, aber auch unzuverlässigen eigenen Mitarbeitern, an Nutzerdaten heranzukommen.

4. Brute-Force-Attacken erschweren: Dies kann durch den Einsatz von Captchas (Buchstabenfolgen, die Nutzer eingeben müssen) erfolgen.

5. Passwort-Wechsel erzwingen: Regelmäßig Passwörter wechseln. Dies kann zeitgesteuert erfolgen (alle X Monate). Spätestens dann, wenn der Verdacht besteht, dass Rechner oder User-Accounts angegriffen wurden, sollte der Administrator zwangsweise ein neues Passwort vergeben.

6. Zum Gebrauch von Passphrases ermuntern: Der Admin sollte die Nutzer zum Gebrauch von Passphrases, also ganzen Sätzen statt Wörtern, animieren. Ein Passphrase enthält Leerzeichen und sollte zudem mit speziellen Elementen angereichert sein, also Zahlen und Sonderzeichen.

Ein Beispiel: »Das Schweinchen$ geht heute 2um Marktplatz« als Zugangskennung verwenden. Die Vorteile von Passphrases: Sie sind länger, also schwerer zu knacken, sind leichter zu merken und enthalten mehr zufällige Elemente, die das Entziffern für Angreifer ebenfalls erschweren.